28. Jul. 2020
Lebenszyklus kompromittierter E-Mail-Accounts
Analysten von Barracuda und der University of California Berkeley haben den Lebenszyklus kompromittierter E-Mail-Konten untersucht. Dabei interessierte sie, wie die Kontoübernahme erfolgt, wie lange sich Angreifer im gehackten Konto aufhalten und wie sie die Konten nutzen beziehungsweise Informationen abgreifen. Grundlage der Untersuchung waren 159 kompromittierte E-Mail-Konten von 111 Organisationen.
Die Ergebnisse der Untersuchung zeigen, dass sich die Angreifer bei ungefähr der Hälfte der kompromittierten Konten (49 %) nach weniger als 24 Stunden zurückzogen. Über ein Drittel (37 %) trieb jedoch über einen Zeitraum von mindestens einer Woche sein Unwesen in den angegriffenen Accounts. 20 % der kompromittierten E-Mail-Konten wurden in Datenlecks von Firmendatenbanken gefunden. Man kann davon ausgehen, dass diese Adressen wahrscheinlich genutzt wurden, um persönliche Accounts für Webseiten zu erstellen. Sobald die Benutzer Anmeldeinformationen wiederverwendeten, würde auch ihr entsprechender Firmenaccount über dasselbe Datenleck angegriffen werden.
In 50 % der analysierten Konten waren vermutlich Angreifer und Nutzer des kompromittierten E-Mail-Accounts ein und dieselbe Person – bei 31 % der Konten waren es der Studie zufolge verschiedene Personen. Es gibt demnach mindestens zwei Geschäftsmodelle: Eine Gruppe von Angreifern ist spezialisiert darauf, E-Mail-Konten anzugreifen und den Kontozugriff an eine zweite Gruppe von Cyberkriminellen zu verkaufen, die sich dann um die Monetarisierung der entführten Konten kümmern.
Nur von 11 Konten (7 %) wurden Phishing-E-Mails versandt, die von Barracuda erkannt wurden. Bei vier dieser 11 lag zwischen der ersten Anmeldung des Angreifers und dem Versand der ersten Phishing-E-Mail weniger als ein Tag. Bei den verbleibenden sieben Konten lagen drei oder mehr Tage zwischen der ersten Anmeldung des Angreifers und dem Versand der ersten Phishing-E-Mail. Bei den verbleibenden 93 % der Konten schien es, als hätten die Angreifer die Konten nicht zum Versand von Phishing-Angriffen verwendet – zumindest nicht im überprüften Zeitraum. Jedoch könnten Angreifer die Informationen aus den kompromittierten Konten etwa nutzen, um eine Domain zu imitieren und so Conversation-Hijacking-Angriffe zu starten, warnt Barracuda.
Bei der Übernahme eines E-Mail-Kontos (sog. Account-Takeover) imitieren Cyberkriminelle bekannte Marken oder nutzen Social-Engineering und Phishing, um Anmeldedaten stehlen und auf den Account zugreifen zu können. Sobald das Konto kompromittiert ist, überwachen Angreifer alle Account-Aktivitäten. So gelangen Kriminelle an unternehmenskritische Informationen: etwa wie ein Unternehmen Geschäfte tätigt, welche E-Mail-Signaturen es verwendet oder wie es Finanztransaktionen handhabt. Mittels nachfolgender Phishing-Angriffe lassen sich dann Finanz- und andere unternehmenskritische Informationen oder zusätzliche Anmeldedaten für andere Konten sammeln.
